OTP pour Iphone: un retour d'expérience

Après avoir publié plusieurs billets sur les technologies d’authentification forte pour les smartphones et notamment pour l’iPhone, je suis maintenant en mesure de vous parler d’un retour d’expérience.

En effet, je viens de finaliser un projet d’authentification forte pour une entreprise du secteur de l'industrie.

Objectif du projet
L'objectif du projet était de remplacer les « bon vieux » authentifieurs hardware, de type SecurID ou similaire, par une technologie utilisant les téléphones portables et smartphones comme authentifieur physique.
Cela pour sécuriser une solution d’accès distants pour une population d'environ 2'000 collaborateurs.

Le déclencheur de ce projet est la mise en place de mesures nécessaires en prévision de la grippe A et, cerise sur le gâteau, l'optimisation d es coûts de la technologie d’authentification forte. Le choix technologique pour les accès distants s'est porté sur l'utilisation d'un VPN de type SSL.

Déroulement du projet de sécurité des identités numériques

- Définition des contraintes et objectifs techniques.
- Analyse marché des solutions d’authentification forte pour les smartphones et téléphones portables.
- Proof of Concept avec les deux finalistes.
- Choix final de la solution. Dans ce cas particulier: la société Suisse Cidway.
- Définition de l'architecture de sécurité pour la solution d'authentification forte
- Mise en place de la politique de sécurité pour la solution d'authentification forte.
- Définitions des rôles.
- Mise en place des processus de gestion des identités: Perte, Vol, Casse d’un authentifieur, Identification des utilisateurs, Révocation, etc.
- Mise en place des procédures d’exploitation pour les différents rôles : Help Desk, Security Officer, etc.

Authentification forte par smartphone ou téléphone portable
La technologie d’authentification forte mise en place utilise deux approches :

- Un OTP envoyé par SMS
- Un Soft Token OTP pour smartphone et notamment l’iPhone

OTP pour l'iPhone
Cette dernière technologie est très intéressante. Facilité d’installation via l’Apple Store et convivialité pour les utilisateurs. Basée sur un secret partagé, ce Soft Token OTP "timed based" (Cidway SESAMI Mobile) offre un très bon niveau de sécurité.

En effet le PIN Code n’est pas stocké sur l’iPhone contrairement à d’autres solutions du marché. L’avantage est qu’il n’est pas possible de bloquer le Soft Token et "cracker" le PIN Code.
Si l’on entre un mauvais PIN Code, l’application affiche un OTP, mais qui n'est pas valide.

Provisioning de l'authentifieur
En termes de "provisioning" il est possible de l’effectuer directement par Internet. Le principe est le suivant:

- L’utilisateur reçoit un code secret (de manière Out of Band) pour initialiser son authentifieur iPhone.
- Durant cette phase le serveur de "provisioning" transmet le secret partagé via une connexion réseau.
- L’authentifieur est dès lors initialisé et prêt à l'usage.

Le seul bémol, pour le moment, est que la connexion d’initialisation utilise le protocole http. Il est alors potentiellement possible de "sniffer" la connexion d'authentification et la transmission du secret partagé. Le risque est très faible car cette connexion n'a lieu qu’une seule fois.
Ensuite le Soft Token est autonome, il n’y a plus de connexion avec le serveur de "provisioning".

Mais selon l’éditeur Cidway, il est prévu dans les prochaines versions d’utiliser SSL ou un autre mécanisme de sécurité.

Conclusion
En conclusion, cette solution est très intéressante, fournit un haut niveau de sécurité et offre une réelle alternative aux authentifieurs hardware. Surtout en termes de coûts.

De plus, cette solution offre aussi la possibilité d'effectuer la validation des transactions. Elle supporte aussi le protocole Radius ce qui offre une grande facilité d'intégration avec les technologies classiques de type VPN IPSEC, SSL, SSH, Citrix, etc.